Plataforma
drupal
Componente
drupal
Corrigido em
1.0.3
1.0.4
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no módulo Login Time Restriction do Drupal Core. Essa falha permite que atacantes executem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a segurança do processo de login. A vulnerabilidade afeta versões do Login Time Restriction anteriores à 1.0.3 e foi publicada em 28 de janeiro de 2026. A correção foi disponibilizada na versão 1.0.3.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações como alterar as configurações de restrição de tempo de login, desabilitar a autenticação de dois fatores ou até mesmo obter acesso não autorizado ao sistema Drupal. O impacto potencial é significativo, pois um atacante pode comprometer a integridade do processo de login e obter acesso a dados confidenciais ou realizar ações maliciosas em nome de usuários legítimos. A ausência de validação adequada de tokens CSRF no módulo Login Time Restriction torna possível a manipulação de requisições HTTP, permitindo que um atacante execute ações sem a necessidade de credenciais válidas.
A vulnerabilidade CVE-2025-13982 foi publicada em 28 de janeiro de 2026. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Drupal sites utilizing the Login Time Restriction module, particularly those with sensitive data or critical functionality, are at risk. Sites running older, unpatched versions of Drupal are especially vulnerable. Shared hosting environments where users have limited control over installed modules also face increased risk.
• drupal: Check the version of the Login Time Restriction module using drush pm-info logintimerestriction. If the version is less than 1.0.3, the system is vulnerable.
• generic web: Monitor Drupal site logs for suspicious POST requests originating from different IP addresses than the authenticated user's. Use a WAF to block requests without valid CSRF tokens.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o módulo Login Time Restriction para a versão 1.0.3 ou superior, que inclui a correção para a falha CSRF. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de proteção adicionais, como a aplicação de políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts permitidos e a utilização de tokens CSRF em todas as requisições críticas. Além disso, monitore os logs do Drupal em busca de atividades suspeitas, como requisições de login incomuns ou alterações nas configurações do módulo Login Time Restriction. Após a atualização, confirme a correção verificando se as requisições de login agora incluem tokens CSRF válidos.
Atualize o módulo Login Time Restriction para a versão 1.0.3 ou superior. Esta versão corrige a vulnerabilidade CSRF. Pode atualizar através da interface de administração do Drupal ou descarregando a nova versão de Drupal.org e substituindo os arquivos do módulo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13982 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Drupal Login Time Restriction module, allowing attackers to perform unauthorized actions.
You are affected if you are using Drupal Login Time Restriction version 1.0.3 or earlier. Upgrade to 1.0.3 to mitigate the risk.
Upgrade the Drupal Login Time Restriction module to version 1.0.3 or later. Implement CSRF token protection as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future attacks.
Refer to the Drupal security advisory page for the latest information and updates regarding CVE-2025-13982.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.